网络异常行为实时监测技术研究.docVIP

网络异常行为实时监测技术研究 　　【摘 要】近年来，随着计算机普及，网络规模扩大，计算机安全问题越来越突出，本文主要介绍了对当前主流的网络异常行为监测技术的发展、现状、应用效果与技术原理进行分析探究。并对NIDS技术的存在的缺点提出改进方法。 　　【关键词】计算机安全 异常监测技术 HIDS技术 网络行为 　　一、引言 　　人类进入21世纪以来，是计算机网络呈现爆发式发展，而网络规模的不断扩大，也使得如今计算机网络技术更为复杂，计算机设备也呈多样化发展，因此如何实时的监测出这些异常行为已成为当前极为重要的问题所在，同时网络异常行为监测也已成为日常网络管理的必要组成部分，它对于网络发展也有着重大影响。 　　二、当下主流监测技术 　　（一）NIDS技术简介 　　NIDS（Network Intrusion Detection System）即网络入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。 　　NIDS提供的功能主要有数据的收集，如数据包嗅探；事件的响应，如利用特征匹配或异常识别技术检测攻击，并产生响应；事件的分析，如协议分析、网络流量分析；事件数据存储，如记录报警信息到数据库。功能测评主要是对NIDS应提供的功能进行验证。例如在事件响应测评中，要求NIDS在检测到攻击事件后能及时地根据设置的响应方式作出响应，在攻击事件检测能力测评中，则要求NIDS能够检测到常见攻击，如后FTP类、门类、HTTP类、Mail类、DNS类、ICMP类、RPC类DoS类、和Finger类等，NIDS技术在控制台功能测评中，则要求NIDS控制台提供对网络引擎、用户角色以及数据库的管理功能等。安全性测评依据入侵检测保护轮廓对NIDS的安全功能做出测评，主要从安全审计、标识和鉴别、安全管理、TOE安全功能保护以及IDS部件要求等方面进行测评分析。 　　（二）HIDS技术 　　相对于NIDS技术HIDS技术所保护的对象则为网络中特定的主机，且HIDS系统需安装在被保护的主机上，它监控的对象主要是主机所收到与发送的数据包，如果是有入侵等异常行为，则肯定会有入侵痕迹，而HIDS则可以对其结果与日志进行检测。然而HIDS最然可以完美的检测到入侵等异常网络行为却对于需要跨平台检测的任务却很难实现监测。 　　三、NIDS存在的问题及改进措施 　　（一）NIDS目前存在的问题 　　NIDS技术作为目前网络安全监测体系的重要部分，虽然功能强大，在实际应用中并不如理论分析中的那般好，它在监测过程中会产生大量的数据，长时间使用后会导致数据很难再使用等。当下传统NIDS的缺点可以总结为以下几点： 　　1.信息量大，效率低下且易于漏报误报 　　用户每天都需要处理大量繁杂的异常行为报警信息，且这类信息中对大多数都是没有价值无效的信息。调查数据显示只有百分之十的报警信息是有用真实的，另外，由于其冗余数据量很大因而造成计算机存储困难信息漏报误报也屡见不鲜。对此，我们可以采取被动探测目标网络，已达到对入侵信息的分析过滤，从而获得有效的异常行为警报信息。 　　2.异常行为信息无针对性 　　当下的NIDS技术产品其产生的报警信息都是相对孤立的，没有任何针对性，同样它也不能喝已有的定向性网络信息共享，以应对人们对特定的需求，比如用户想对某些计算机进行重点监测，而其他的一些计算机并不需要如此严格的保护，而NIDS的无针对性显然无法完成此项任务。 　　（二）NIDS系统技术的改进措施 　　介于NIDS监测过程中可以产生庞大的数据量，那么我们应该深信，既然拥有如此庞大的信息量那么这项技术肯定可以更多更好的完成各种任务。 　　首先我们对侦听后抓到的数据包进行协议分析，所谓协议分析即为通过模式匹配方法与网络通信协议的具备含义明确、有效数据获取与高度格式化特性相结合，以达到减少运算量，提升抓包效率、获取精准结果。此处所采用的技术为被动发现技术，运用这项技术的原因是既可以使NIDS抓到包有不对网络产生较大的影响，若今后随着网络环境不断变化，我们可以考虑未来将之与探测器等主动发现技术结合。 　　考虑到第二章所述的NIDS技术无针对性，我们增加主机评估功能，将其安全级别划分为两类，即自动生成与主动生成主机评价设置。用户可以提前对此系统的安全等级设置生成规则，然后由计算机自动完成生成，而对一些尤为重要的计算机设备我们可以手动设定其主机安全等级评估。 　　四、总结 　　本文首先对当下网络行为安全监测的背景及重要性进行了阐述，然后介绍了当下主流的NIDS与HIDS系统。对目前NID